T-Systems-Claim-Logo
Suchen
Industriestandort von oben

Das IT-Sicherheitsgesetz 2.0 FAQ

Was Sie über das deutsche IT-Sicherheitsgesetz 2.0 wissen müssen

31. Januar 2022Bernd Jäger

Das FAQ zum IT-Sicherheitsgesetz 2.0

Wie gehen Sie das neue IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung an? Sind diese für Ihr Geschäft relevant? Warum sind sie so wichtig? Welche Maßnahmen sollten Sie für mehr Sicherheit ergreifen?
Im Interview beantwortet der Experte für Industrie- und IoT-Sicherheit Bernd Jäger die häufigsten Fragen rund um das IT-Sicherheitsgesetz und kritische Infrastrukturen in Deutschland.

Wie würden Sie KRITIS einem Laien erklären?

Abstrakte Linien und Punkte in hellbau und grün auf schwarzem Grund

KRITIS ist ein auf dem deutschen IT-Sicherheitsgesetz basierender Rechtsrahmen, für den vor Kurzem wichtige Änderungen beschlossen wurden. Dabei geht es nicht um die Einhaltung eines Gesetzes, sondern vielmehr um das Konzept der Sorgfaltspflicht im Internet zum Schutz der kritischen Infrastrukturen, auf die wir alle in unserem täglichen Leben angewiesen sind.

Worin unterscheidet sich das neue IT-Sicherheitsgesetz 2.0 bzw. die neue KRITIS-Verordnung von dem ersten IT-Sicherheitsgesetz aus dem Jahr 2015?

Ich würde sagen, die wichtigsten Unterschiede sind unter anderem:

  • Es gilt für neue Branchen wie die Abfallwirtschaft
  • Es schreibt technische Werkzeuge zur Erkennung verhaltensbasierter Angriffe sowie unterstützende Prozesse vor
  • Die Sanktionen für die Nichteinhaltung wurden erhöht
  • Die zuständige Behörde hat mehr Befugnisse

Warum hat die Regierung einen gesetzlichen Rahmen für diesen Bereich geschaffen? Was ist der Hintergrund und was war der Auslöser hierfür?

Ich glaube noch immer, dass Regierungen in der Regel die öffentliche Sicherheit ihrer Bevölkerung und ihres Land schützen wollen. Während des vergangenen Jahrzehnts ist wohl jedem klar geworden, dass Cyberkriminelle eine ernste und reale Bedrohung für die virtuelle und physische Welt, in der wir leben, darstellen. Es wurde bereits über so viele große Cyberangriffe berichtet, dass ich nicht glaube, dass eine bestimmte digitale Attacke allein der Auslöser war. Ausschlaggebend dürfte vielmehr die generelle Erkenntnis gewesen sein, dass die „durchschnittlichen“ Cyberangriffe auf kritische Infrastrukturen (sozusagen „die Ransomware-Attacke der Woche“) in absehbarer Zeit nicht aufhören werden. Leider sind sie zu einem Teil unseres Lebens geworden, den wir nicht ignorieren können. Daher ist es von öffentlichem Interesse die IT-Sicherheit zu stärken.

Wie wissen Unternehmen, ob diese Verordnung für sie gilt oder nicht? Und wenn ja, welche Maßnahmen sollten sie als Nächstes ergreifen?

Die BSI-KritisV (BSI-Kritisverordnung) beschreibt die relevanten Parameter und Schwellenwerte. Ich weiß, dass Fachleute diese Werte genau betrachten, um zu bewerten, ob ihr Unternehmen unter die Verordnung des BSI-Gesetzes fällt oder nicht. Leider bieten diese noch immer Raum für Interpretationen, was jedoch wenig überrascht.

Können die von der Verordnung betroffenen Unternehmen selbst Maßnahmen durchführen, oder sind sie auf die Hilfe externer Agenturen, Berater und Auditoren angewiesen?

Mann steht neben einer Industrie mit einem Laptop in der Hand

Wenn Sie jetzt, vielleicht im Zuge der Änderungen des BSI (Bundesamt für Sicherheit in der Informationstechnik), unter die Verordnung fallen, dann sind Sie wahrscheinlich mit dem Thema IT-Sicherheit noch nicht vertraut. Sie sollten sich daher Unterstützung von Fachleuten holen, die Erfahrung damit haben, um Ihre Strategie festzulegen, mit der Sie die Vorgaben fristgerecht erfüllen. Diese können Ihnen Ratschläge geben, wo Sie am besten anfangen, welche Prioritäten Sie setzen und wie Sie in pragmatischer Weise die gewählte Strategie umsetzen können. Sie verfügen vielleicht bereits über Ressourcen wie Know-how, IoT, Technologien und Prozesse, die Sie nutzen können, um die Vorgaben zu erfüllen, oder für die nur kleine Anpassungen in Netzwerk oder Cloud erforderlich sind, um Konformität zu erreichen.

Das neue Gesetz gilt für mehr Unternehmen als das frühere. Werden in Zukunft wahrscheinlich noch weitere Unternehmen in seinen Geltungsbereich fallen?

Es hat fünf Jahre gedauert, bis die aktuelle Version stand. Also ist zukünftig wohl kaum mit jährlichen Änderungen zu rechnen. Es wird aber wahrscheinlich auf dem IT-Sicherheitsgesetz 2.0 basierende Verordnungen geben, in denen dessen Vorgaben detaillierter ausgeführt werden. Und Nachbarländer oder Branchenverbände könnten Elemente aus diesen übernehmen. Viel wichtiger ist meiner Meinung nach, dass die Regierung einen Rahmen für die Cybersicherheit in nach ihrer Einschätzung kritischen Infrastrukturen festgelegt hat.

IT-Sicherheitsgesetz 2.0

Grafische Darstellung der Unternehmen und Kriterien, welche unter das IT-Sicherheitsgesetz 2.0 fallen.

Neue Pflichten für Unternehmen, die von erheblicher volkswirtschaftlicher Bedeutung sind. In der Infografik zeigen wir die Übersicht der betroffenen Unternehmen und den dazugehörenden Kriterien.

Mehr Details in der Infografik

Werden zur Einhaltung der Vorgaben bessere Sicherheitslösungen benötigt, die Unternehmen dabei helfen, Bedrohungen besser zu erkennen und darauf zu reagieren?

Grundsätzlich ja. Vor allem geht es aber darum, einige grundlegende Aspekte (Sichtbarkeit, Segmentierung, sicherer Fernzugriff, IoT Security, Ressourcenbestand und Basisprozesse des Informationsabrufs) für OT2 zu berücksichtigen! Dann integrieren Sie sie in Ihre IT-Cybersicherheitsprozesse und Backend-Systeme (Data Lake, SIEM, SOAR, Ticket-System, Schwachstellen-/Asset-Management und SOC).

Verfügt T-Systems über Lösungen für diese Sicherheitsherausforderungen?

Ja. Die Absicherung der OT-Umgebung stellt für die meisten unserer Kunden eine Herausforderung dar. Wir können sie dabei von Anfang an unterstützen, beispielsweise mit einem Workshop zur Orientierung, um zu sehen, wo sie stehen, und eine Strategie festzulegen. Alternativ können wir ihnen dabei helfen, eine Sicherheitsplattform aufzubauen, sie zu optimieren, Personal zu schulen, Ablaufpläne zu erstellen und ihren Mitarbeitenden deren effektive Nutzung zu ermöglichen. Wenn Cybersicherheit für die Produktion nicht Ihr Kerngeschäft oder Ihre Kernkompetenz ist, wollen Sie diese neue Aufgabe wahrscheinlich nicht selbst durchführen. Daher bieten wir auch einen voll verwalteten Service an, der auf die spezifischen Bedürfnisse unserer Kunden abgestimmt ist. Wir wollen keine bestimmte Technologielösung verkaufen („Sie brauchen eine OT-Firewall!“), sondern vielmehr unsere Kunden bei der Nutzung solcher Lösungen und deren nahtloser Integration in ihren OT-Prozess unterstützen. Wie würde zum Beispiel ein Firewall-Regelwerk aussehen, das einen bestimmten OT-Unterprozessbereich abschirmt, ohne kritische Echtzeit-Kommunikation zu blockieren? Welche Änderungen und Notfallmanagement-Prozesse für Ausfälle sind erforderlich? Wir wollen die Resilienz unserer Kunden gegenüber Cyberangriffen stärken.

Können die Industrial Security Center von Hitachi Energy, Telekom und Securitas auch hier eingeordnet werden? Was sind die Unterschiede?

Das ist die nächste Schutzebene. Mit dem Industrial Security Center haben wir die drei grundlegenden Bereiche kombiniert, die für die Resilienz Ihrer OT-Prozesse kritisch sind: physische, OT- und Cybersicherheit. Wir überwachen laufend die aus diesen Bereichen eingehenden Daten und führen nahezu in Echtzeit (innerhalb von Sekunden) Analysen durch, um Abweichungen in Situationen oder im Verhalten zu identifizieren. Und wir haben nicht nur die Daten kombiniert. Wir haben außerdem die bereichsübergreifende Reaktion auf Vorfälle mit SOAR-Technologie teilautomatisiert, also die Schritte, die ein Level-1-Analyst normalerweise manuell durchführen müsste. Dadurch können wir eine viel schnellere Erstreaktion umsetzen. Und da wir nun über Kontextinformationen aus Quellen wie Kameras, SCADA-Überwachungssystemen, IoT-Geräte (Internet of Things) und Cybersensoren verfügen, können wir die tatsächliche Lage viel schneller einschätzen, als wenn wir nur Zugriff auf einen Bereich hätten, beispielsweise nur auf die Cyberumgebung. Doch verstehen Sie mich nicht falsch: Wir klammern keineswegs die Menschen aus der Gleichung aus.

Für kritische Entscheidungen haben wir einen Koordinator/Orchestrator, der die umfassenden und hochwertigen Kontextinformationen nutzt, um gemeinsam mit den Spezialisten unserer Kunden den Vorfall zu lösen.

Einige gängige Abkürzungen aus dem Sicherheitsbereich

Hier einige Abkürzungen, denen Sie begegnen werden oder die Ihnen vielleicht bereits vertraut sind:

KRITIS – kritische Infrastrukturen

KRITIS-Verordnung – die kritischen Infrastrukturen in den sieben Sektoren (Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung, Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen

IR – Incident Response (Reaktion auf Vorfälle)

OT – Operational Technology (operative Technologie)

SIEM – Security Information and Event Management (Sicherheitsinformationen und Vorfallverwaltung)

SOAR – Security Orchestration, Automation and Response (Orchestrierung, Automatisierung und Reaktion auf Sicherheitsfragen)

SOC – Security Operation Center (IT-Sicherheitszentrum)

SCADA – Supervisory Control and Data Acquisition (Überwachung, Steuerung und Datenerfassung)

Wir wollen keine bestimmte Technologielösung verkaufen („Sie brauchen eine OT-Firewall!“), sondern vielmehr unsere Kunden bei der Nutzung solcher Lösungen und deren nahtloser Integration in ihre OT-Prozesse unterstützen.

Bernd Jäger, Industrial & IoT Security Experte

Zur Person
IM-Jäger-Bernd

Bernd Jäger

Practice Lead Industrial & IoT Security, Deutsche Telekom

Profil und alle Artikel ansehen
Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.